Kako kibernetički kriminalci hakiraju sustave? Kako se možete zaštititi od njih? Etički hakeri mogu vam pokazati putem pentestova.
Ne postoji nešto poput potpuno sigurnog sustava. Penetration test, skraćeno pentesting, specijalizirani je postupak testiranja koji uključuje skeniranje, ocjenjivanje i jačanje svih sastavnih dijelova informacijskog sustava protiv potencijalnih cyber nasrtajima. Korporacije koriste stranice za dodjelu grešaka kako bi otkrile sigurnosne propuste u svojim sustavima. Stručnjaci za kibernetičku sigurnost koji su stručnjaci za testiranje prodora otkrivaju i otkrivaju organizacijske nedostatke na zakonit način pomoću sustava nagrada za bugove. Dakle, kako ovaj proces funkcionira?
1. Pasivno prikupljanje i praćenje informacija
U prvoj fazi bug bounty i penetration testa, ispitivač mora prikupiti informacije o ciljnom sustavu. Budući da postoji mnogo metoda napada i testiranja, ispitivač penetracije mora odrediti prioritete na temelju prikupljenih informacija kako bi odredio najprikladniju metodu testiranja.
Ovaj korak uključuje izdvajanje vrijednih detalja o infrastrukturi ciljnog sustava, kao što su nazivi domena, mrežni blokovi, usmjerivači i IP adrese unutar njegovog opsega. Dodatno, treba prikupiti sve relevantne informacije koje bi mogle poboljšati uspjeh napada, poput podataka o zaposlenicima i telefonskih brojeva.
Podaci dobiveni iz otvorenih izvora tijekom ove faze mogu iznenađujuće dati kritične detalje. Kako bi to postigao, etički haker mora iskoristiti različite izvore, s posebnim naglaskom na web stranicu ciljane institucije i platforme društvenih medija. Pedantnim prikupljanjem ovih obavještajnih podataka, tester postavlja temelje za uspješan pothvat nagrađivanja grešaka.
Međutim, većina organizacija nameće različita pravila ispitivaču prodora tijekom bug bounty-a. S pravne točke gledišta bitno je ne odstupiti od ovih pravila.
2. Aktivno prikupljanje i skeniranje informacija
Tester penetracije otkriva koji aktivni i pasivni uređaji rade unutar IP raspona, što se obično radi pasivnim prikupljanjem tijekom bug bounty-a. Uz pomoć informacija dobivenih tijekom ovog pasivnog prikupljanja, pentester treba odrediti put — moraju odrediti prioritete i točno odrediti koji su testovi potrebni.
Tijekom ove faze, neizbježno je da haker dobije informacije o operativnom sustavu (OS), otvorenim portovima i uslugama te informacije o njihovoj verziji na živim sustavima.
Osim toga, ako organizacija koja traži nagradu za bugove zakonski dopušta testeru prodora za praćenje mrežnog prometa, kritične informacije o infrastrukturi sustava mogu se prikupiti, barem onoliko koliko je to moguće. Međutim, većina organizacija ne želi dati ovo dopuštenje. U takvoj situaciji ispitivač penetracije ne smije ići izvan pravila.
3. Korak analize i testiranja
U ovoj fazi, ispitivač penetracije, nakon što otkrije kako će ciljna aplikacija odgovoriti na razne upade pokušava, pokušava uspostaviti aktivne veze sa sustavima za koje otkrije da su živi i pokušava ih učiniti izravnim upiti. Drugim riječima, ovo je faza u kojoj etički haker stupa u interakciju s ciljnim sustavom učinkovito koristeći usluge kao što su FTP, Netcat i Telnet.
Iako ne uspijeva u ovoj fazi, glavna svrha ovdje je testirati podaci dobiveni u prikupljanju informacija korake i o tome vodite bilješke.
4. Pokušaj manipulacije i iskorištavanja
Ispitivač prodora prikuplja sve podatke prikupljene u prethodnim procesima za jedan cilj: pokušavajući dobiti pristup ciljnom sustavu na isti način na koji pravi, zlonamjerni haker bi. Zbog toga je ovaj korak tako kritičan. Jer dok dizajniraju nagradu za bugove, ispitivači prodora trebali bi razmišljati kao neprijateljski raspoloženi hakeri.
U ovoj fazi pentester se pokušava infiltrirati u sustav, koristeći OS koji radi na ciljnom sustavu, otvorene portove i usluge koje služe u tim lukama, te metode iskorištavanja koje se mogu primijeniti u svjetlu njihovih verzije. Budući da se portali i aplikacije temeljeni na webu sastoje od toliko koda i toliko biblioteka, zlonamjerni haker ima veću površinu za napad. U tom smislu, dobar tester penetracije trebao bi razmotriti sve mogućnosti i implementirati sve moguće vektore napada dopuštene u okviru pravila.
Potrebna je ozbiljna stručnost i iskustvo kako bi se postojeće metode eksploatacije mogle uspješno koristiti i fleksibilno, bez oštećenja sustava i bez ostavljanja tragova, tijekom procesa preuzimanja sustav. Ova faza testa penetracije je stoga najkritičniji korak. Kako bi forenzički računalni timovi intervenirali tijekom mogućeg napada, kibernetički napadač mora pratiti tragove ostavljene iza sebe.
5. Privilege Elevation Attempt
Sustav je jak onoliko koliko je jaka njegova najslabija karika. Ako etički haker uspije pristupiti sustavu, obično se prijavi u sustav kao korisnik s niskim ovlastima. U ovoj fazi, ispitivač penetracije trebao bi trebaju ovlasti na razini administratora, iskorištavanje ranjivosti u operativnom sustavu ili okruženju.
Zatim bi trebali težiti preuzimanju drugih uređaja u mrežnom okruženju s ovim dodatnim privilegijama koje su stekli i na kraju korisničke povlastice najviše razine kao što su administrator domene ili baza podataka Administrator.
6. Izvještavanje i predstavljanje
Kada se dovrše koraci testa penetracije i dodjele bugova, ispitivač penetracije ili lovac na bugove mora predstaviti sigurnosne propuste koje otkriveni u ciljnom sustavu, koraci koji su uslijedili i kako su mogli iskoristiti te ranjivosti organizacije s detaljnim izvješće. To bi trebalo uključivati informacije kao što su snimke zaslona, uzorci kodova, faze napada i što ova ranjivost može uzrokovati.
Završno izvješće također treba sadržavati prijedlog rješenja o tome kako zatvoriti svaki sigurnosni jaz. Osjetljivost i neovisnost penetracijskih testova trebala bi ostati tajna. Etički haker nikada ne bi trebao dijeliti povjerljive informacije dobivene u ovoj fazi i nikada ne bi trebao zlorabiti te informacije davanjem dezinformacija, jer je to općenito protuzakonito.
Zašto je test penetracije važan?
Krajnji cilj penetracijskog testiranja je otkriti koliko je infrastruktura sustava sigurna iz perspektive napadača i zatvoriti sve ranjivosti. Osim identificiranja slabih točaka u sigurnosnom položaju organizacije, također mjeri relevantnost njezine sigurnosne politike, testiranje svijesti osoblja o sigurnosnim pitanjima i utvrđivanje u kojoj je mjeri tvrtka implementirala kibernetičku sigurnost principi.
Penetracijski testovi postaju sve važniji. Za analizu sigurnosti u infrastrukturi korporativnih struktura i osobnih aplikacija, ključno je dobiti podršku od certificiranih testera etičke penetracije.
